Risque Cyber Supply-Chain #2 : quand vous exposez vos partenaires
Dans notre article « Risque Cyber Supply-Chain #1 : comment vos fournisseurs vous exposent », nous avons discuté du risque cyber lié aux fournisseurs de logiciels en particulier, à la suite de l’incident Cegedim en décembre 2025.
Or, un fournisseur, quel que soit son secteur d’activité, peut propager un risque cyber. Sous-traitants ou fournisseurs industriels, logistiques, prestataires administratifs ou cabinets de conseil, tous peuvent devenir un point d’entrée, un relais ou un facteur de blocage.
Surtout, le risque ne concerne pas uniquement les fournisseurs IT. SecurityScorecard estime que 46,75 % des violations de données liées à des tiers impliquent des produits ou services technologiques. Donc, plus de la moitié des cas étudiés relèvent de fournisseurs non-IT.
Dans ce deuxième article, nous montrons, à partir d’exemples connus, que le risque cyber supply chain ne provient pas uniquement des fournisseurs numériques. Une entreprise non numérique peut, elle aussi, exposer ses clients, fournisseurs et partenaires.
L’essentiel
- Le risque cyber supply-chain ne vient pas que des fournisseurs numériques : tout partenaire intégré au quotidien d’un client peut devenir un relais
- Vous propagez un incident de trois façons : par les données que vous détenez, par la confiance qu’on vous accorde, ou par la prestation dont vos clients dépendent
- Vous devenez un maillon faible non parce que vous êtes stratégique, mais parce que vous êtes déjà connu et accepté
- Première étape : savoir quelles données, quels accès et quelles prestations font de vous un point d’entrée possible
Pourquoi le risque cyber supply chain progresse ? La complexité
Le risque cyber supply-chain progresse parce que les entreprises sont devenues plus interconnectées, plus externalisées et donc plus dépendantes les unes des autres.
Les chiffres confirment cette évolution. Selon le Verizon DBIR 2025, les violations de données impliquant des tiers ont doublé pour atteindre 30 % à fin 2024. Le SecurityScorecard Global Third-Party Breach Report 2025 va dans le même sens : 35,5 % des violations de données analysées en 2024 impliquent un tiers. Le World Economic Forum indique par ailleurs que 65 % des grandes organisations considèrent la gestion du risque tiers et supply chain comme un obstacle majeur à leur cyber-résilience (Global Cybersecurity Outlook 2026, janvier 2026).
1. Les outils numériques multiplient les points de contact
Dans presque toutes les entreprises, l’activité repose aujourd’hui sur de nombreux outils connectés, par exemple ERP, logiciels de facturation, CRM, outils RH, plateformes collaboratives, objets connectés, solutions cloud ou services d’intelligence artificielle.
Ces outils facilitent le travail quotidien, mais ils créent aussi de nouveaux points de contact avec des tiers. Le cyberattaquant n’a pas toujours besoin de forcer directement l’entreprise cible. Il peut compromettre un partenaire déjà accepté dans l’environnement de la cible.
2. L’externalisation rend les dépendances plus nombreuses
La complexité ne vient pas seulement de la technologie. Elle vient aussi des modèles économiques. De nombreuses fonctions sont confiées à des prestataires devenus essentiels au fonctionnement de l’entreprise : maintenance, logistique, paie, comptabilité, support informatique, transport, gestion administrative et même production.
Plus les externalisations se multiplient, plus elles allongent la chaîne d’approvisionnement. Une entreprise peut ainsi dépendre d’un fournisseur de rang 1, lui-même dépendant de fournisseurs de rang 2 ou 3. La maîtrise de la chaîne en matière de cybersécurité devient d’autant plus complexe.
Dans certains secteurs — industrie, automobile, aéronautique, santé, agroalimentaire ou distribution -, ces chaînes sont particulièrement profondes et fragmentées. Le SecurityScorecard Global Third-Party Breach Report 2025 précise par exemple que 4,5 % des violations étudiées s’étendent à des « quatrièmes parties », c’est-à-dire à des sous-traitants ou fournisseurs de fournisseurs.
De plus, lorsque certains maillons sont situés dans d’autres pays, la maîtrise devient encore plus difficile : pratiques de sécurité et obligations réglementaires différentes, délais de réaction plus longs ou visibilité plus limitée.
3. Les relations de confiance facilitent la propagation
Dans une chaîne d’approvisionnement, les entreprises se connaissent, échangent régulièrement et s’accordent une confiance opérationnelle.
C’est précisément cette confiance que les attaquants exploitent. Un partenaire compromis peut servir à exposer les données des autres maillons de la chaîne, à rendre une fraude plus crédible ou à bloquer une activité dépendante.
C’est là qu’apparaît l’effet cascade des incidents. Selon le Black Kite 2026 Third-Party Breach Report, l’effet multiplicateur dépasse 5x en 2025 : un fournisseur compromis a entraîné, en moyenne, 5,3 organisations impactées en aval.
Cette propagation reste difficile à maîtriser, car beaucoup d’organisations manquent encore de visibilité sur leurs tiers (fournisseurs, sous-traitants, partenaires). KPMG cite notamment la complexité des chaînes, des contrôles contractuels insuffisants et des ressources limitées dans les PME.
Une entreprise peut donc devenir un point d’entrée, un relais ou un facteur de blocage, même si elle n’était pas la cible principale.
Trois façons dont une PME peut exposer ses partenaires
Les incidents cyber dans la supply chain ne se propagent pas tous de la même manière. Certains exposent des données, d’autres exploitent la confiance entre partenaires, d’autres encore bloquent l’activité.
Dans chacun des trois scénarios ci-dessous, une entreprise qui conserve des données clients, échange des documents sensibles, dispose d’un accès chez un donneur d’ordre ou fournit une prestation indispensable peut devenir le maillon par lequel un incident se propage.
Ce que ces trois cas montrent
Ces exemples sont différents, mais ils montrent tous qu’une PME peut exposer ses partenaires non parce qu’elle est une cible stratégique, mais parce qu’elle est déjà intégrée dans leur fonctionnement quotidien.
La propagation peut passer par les données qu’elle détient, la confiance qu’on lui accorde ou la dépendance opérationnelle que ses clients ont vis-à-vis d’elle. Le risque cyber supply chain ne provient pas uniquement des fournisseurs numériques.
Comment éviter de devenir un risque cyber pour vos clients ?
L’enjeu n’est plus seulement de protéger son propre système d’information, mais aussi de comprendre comment un incident chez vous pourrait toucher vos clients, fournisseurs ou partenaires.
Voici nos trois pistes.
En conclusion
Le risque cyber supply-chain ne vient pas que des fournisseurs numériques. N’importe quelle entreprise intégrée à une chaîne peut propager un incident par les données qu’elle détient, par la confiance qu’on lui accorde ou par la continuité d’activité dont ses clients dépendent. Une PME devient rarement un maillon faible parce qu’elle est une cible stratégique, mais parce qu’elle est déjà installée dans le quotidien de ses partenaires.
Cet article a regardé une seule direction : comment vous exposez vos clients. Dans notre article Cyber Risque Supply-Chain #1 nous avons évoqué le cas où vos fournisseurs numériques vous expose.
On peut alors se demander : dans une chaîne de valeur où chacun expose et est exposé, qui porte la responsabilité de la sécuriser ?
Auteur
Stéphane Hivert
Spécialiste Cybersécurité PME
Spécialiste Secteurs E‑commerce, Industrie
Contributeur
Lai Ly
Spécialiste Gouvernance Cybersécurité PME
Spécialiste Secteurs Services Financiers
Si votre PME était compromise ou bloquée demain, quels clients seraient exposés, et comment ?
Chez LINARIS, nous aidons les dirigeants de PME à répondre concrètement à cette question : comprendre votre rôle dans la chaîne de valeur de vos clients, identifier les risques que vous pourriez leur faire peser, puis prioriser les mesures réellement utiles. Pas de chantier infini ni de checklist générique, mais une analyse adaptée à votre activité réelle, qui va à l’essentiel.
Vous voulez savoir où votre entreprise pourrait exposer ses clients ?
Contactez-nous pour un diagnostic cyber.
Disclaimer
Ce rapport est fourni à titre informatif uniquement et reflète l’opinion de son auteur à la date de l’analyse. Il ne constitue pas un avis juridique ou réglementaire et ne garantit pas l’absence de risques ou de vulnérabilités. Les menaces et niveaux de risque peuvent évoluer dans le temps. Toute décision prise sur la base de ce rapport relève de la seule responsabilité du lecteur.
